Sichere Videokonferenzen mit Zoom – ist das möglich?

Die Videoplattform Zoom wird in den letzten Wochen immer mehr überrannt, da die Corona-Pandemie viele dazu zwingt, von zuhause aus zu arbeiten.

Laut Zahlen des Firmenchefs Eric Yuan, sollen im Dezember 2019 maximal 10 Millionen Menschen pro Tag ein Zoom-Meeting abgehalten haben, nun seien es über 200 Millionen. Seit Wochen steht die App unangefochten auf Platz 1 in den App-Stores.

Zoom boomt, weil die Plattform gratis und bequem ist. Aber die Videokonferenz-Software erweist sich immer mehr als Alptraum für die Sicherheit und Privatsphäre. Deshalb steht Zoom mittlerweile immer mehr in der Kritik.

Sicherheitslücken, fragwürdige Überwachungsfunktionen, heimlicher Datenabfluss an Facebook, falsche Verschlüsselungsversprechen und zwielichtige Tricks, die an Schadsoftware erinnern – die Liste der Probleme ist in den letzten Tagen immer länger geworden. IT-Experten nennen Zoom «ein Datenschutz-Desaster» und «grundlegend korrupt». Die Anzahl der Sicherheitsprobleme mache Zoom so schlimm wie Malware. Sogar das FBI warnte vor der Software. Trolle schleusen sich in fremde Zoom-Meetings ein, um Schulstunden, Wahlkampf-Events und sogar Gottesdienste mit rassistischen und pornografischen Inhalten in Aufruhr versetzen.

Große Firmen handelten schnell und verbannten Zoom aus ihrem Unternehmen. So auch der Tech-Milliardär Elon Musk, der Zoom sofort aus seinen Unternehmen Tesla und SpaceX verbannte. Die Begründung: «Erhebliche Datenschutz- und Sicherheitsbedenken.»

Experten empfehlen stattdessen die Alternative Microsoft Teams, welche die gleichen Funktionen mit geeigneten Sicherheitsmaßnahmen habe.
In einem Interview sagte Zoom-Chef Eric Yuan, dass er «als CEO wirklich Mist gebaut» habe und dass er sich «verpflichtet fühlt, das Vertrauen der Nutzer zurückzugewinnen».

Probleme bei Zoom:

Verschlüsselung: Zoom verschlüssele Nutzerkommunikation laut seiner eigenen Website, einem Whitepaper sowie einer Einblendung in der Software unter bestimmten Voraussetzungen Ende-zu-Ende. Wie The Intercept jetzt aber berichtet, nutzt Zoom für Video- und Audiokonferenzen lediglich die Transportverschlüsselung per Transport Layer Security (TLS). Der von Zoom genutzte Standard für die Verschlüsselung ist nicht etwa AES-256, sondern schlichtes TLS 1.x. Mittlerweile hat Zoom allerdings Stellung zu der Verschlüsselungsproblematik bezogen.

„Zoom-Bombing“: Immer wieder ist von „Zoom-Bombing“ die Rede. Trolle hacken sich in fremde Videokonferenzen ein. Ein Fall der Wirtschaftsschule KV Winterthur in der Schweiz macht Schlagzeilen, die die ganze Welt erreichen. Unbekannte traten einer Videokonferenz auf Zoom bei und spielten einen Porno ab. Oft werden Links zu Zoom-Meetings absichtlich oder aus Versehen öffentlich geteilt, was Missbrauch Tür und Tor öffnet. Allerdings können sich ungebetene Gäste auch zuschalten, weil die Links bzw. Meeting-IDs leicht zu erraten sind.

Hunderttausende Zoom-Accounts zum Kauf im Darknet
Im Darknet und in einschlägigen Untergrundforen haben Mitarbeiter der IT-Sicherheitsfirma Cyble mehrere Hunderttausende Zugangsdatensätze entdeckt. Diese bestehenden Datensätze aus E-Mail-Adresse, Passwort im Klartext sowie aus Meeting-URL und sechsstelligem Zoom-Host-Key wurden für weniger als einen US-Cent pro Stück gebündelt zum Kauf angeboten. Diese veröffentlichte Login-Daten sollen aus einem Credential-Stuffing-Angriff stammen. Diesem können grundsätzlich alle Dienste zum Opfer fallen, sofern keine zusätzlichen Authentifizierungsmechanismen vorhanden sind. Für alle Zoom-Nutzer ist es ratsam, eine Passwortänderung vorzunehmen.

Zoom hat Maßnahmen getroffen:
Infolge der auffallend massiven Kritik hat Zoom angekündigt, zahlreiche Verbesserungen an seinen Sicherheitseinstellungen vorzunehmen. Das Unternehmen schreibt, dass Inhalte von Chats und Konferenzen nicht zu Werbezwecken analysiert oder Daten über Zoom-Nutzer an Dritte weiterverkauft würden. Außerdem soll Zoom-Bombing nicht mehr vorkommen, indem Meeting-Organisatoren ihre Einladung nur noch mit einem automatisch vom Zoom-System erzeugten Passwort verschicken können. Am 1. April 2020 verkündete Zoom einen 90-tägigen „Feature-Freeze“ durchzuführen, bei dem die Entwicklung neuer Funktionen komplett eingestellt wird und das gesamte Entwicklerteam nur daran arbeiten soll, die Sicherheit der Anwendung zu erhöhen. Zudem soll es ein externes Security-Audit geben, einen Transparenzbericht und das Bug-Bounty-Programm soll ebenfalls erweitert werden.

Tipps für sichere Videokonferenzen:
Trotz Sicherheitslücken solcher Videokonferenz-Plattformen, ist jeder Organisator eines Meetings in erster Linie selbst dafür verantwortlich, dass die Belange der Datensicherheit und des Datenschutzes beachtet werden.

• Sicherheitsmaßnahmen des Providers verstehen: Bei der Auswahl eines Providers sollten Sie daher die richtigen Fragen stellen, um die Sicherheit auf allen Ebenen zu verstehen: Daten, Backend, Desktop-Applikation und Endgerät.
• Standardeinstellungen ändern: Ändern Sie Ihr Passwort und Ihren Benutzernamen von den Standardeinstellungen auf ein starkes, komplexes Passwort.
• Netzwerk sichern: Netzwerke sind der Einstiegspunkt für Cyber-Angreifer. Schützen Sie Ihr Netzwerk, in dem Sie den Zugang auf wichtige, autorisierte Mitarbeiter beschränken, bestimmte Arten von Dateien in Email-Anhängen blockieren, regelmäßig Überprüfungen auf Sicherheitslücken durchführen und an Remote-Standorten arbeitende Mitarbeiter müssen ebenfalls darauf achten, die Netzwerke an diesen Remote-Standorten zu schützen.
• Zugangs-Links und Meeting-IDs: Am wichtigsten ist es, die Zugangscodes für Ihre Meetings geheim zu halten.
• Mitarbeiter schulen